REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Moja firma » Biznes » e-Firma » Programy dla firm » Jak atakowane są banki ?

Jak atakowane są banki ?

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
04 czerwca 2010, 15:21
Kaspersky Lab Polska

REKLAMA

REKLAMA

Artykuł zawiera przegląd metod wykorzystywanych obecnie przez cyberprzestępców do atakowania instytucji finansowych, w szczególności banków. Opisane tu trendy i zagadnienia są kluczowe jeśli chodzi o bezpieczeństwo danych, którymi dysponują współczesne instytucje finansowe Na koniec propozycja kilku sposobów mogących pomóc zapewnić ochronę przed zagrożeniami, które nieodłącznie wiążą się z bankowością online.

Ogólne trendy

REKLAMA

W 2007 roku producenci rozwiązań antywirusowych zauważyli ogromny wzrost liczby szkodliwych programów atakujących banki (finansowe szkodliwe oprogramowanie). Mimo braku jasnych informacji z sektora finansowego świadczy to o wzroście liczby ataków na banki.

REKLAMA

• Twórcy szkodliwego oprogramowania nieustannie zmieniają swoje programy, aby uniemożliwić ich wykrycie przez rozwiązania antywirusowe. Jednak w przypadku niewielkich zmian, producenci rozwiązań bezpieczeństwa wykrywają nowe próbki szkodliwego oprogramowania przy pomocy sygnatur stworzonych dla wcześniejszych wariantów.
•  Ataki bankowe to na ogół wielostopniowy proces obejmujący socjotechnikę, phishing oraz wykorzystanie trojanów downloaderów, które pobierają finansowe szkodliwe oprogramowanie. Przestępcom łatwiej jest zmodyfikować trojany downloadery (które zwykle mają mniejszy rozmiar i są mniej skomplikowane) niż finansowe szkodliwe oprogramowanie.

Zwiększyła się nie tylko liczba szkodliwych programów atakujących instytucje finansowe, ale również liczba szkodników, które potrafią atakować więcej niż jeden bank lub instytucję jednocześnie.

To oznacza, że celem ogromnej większości takich szkodliwych programów jest atakowanie od jednego do trzech banków. Taka taktyka spowodowana jest dużą regionalizacją finansowego szkodliwego oprogramowania - celem tego typu programów jest przeprowadzanie ataków na określone banki lub instytucje w danym regionie. Dlatego poszczególne szkodliwe programy będą atakowały najpopularniejsze banki w regionie, np. Stanach Zjednoczonych, Niemczech, Meksyku czy Wielkiej Brytanii.

Dalszy ciąg materiału pod wideo

REKLAMA

Większość finansowych szkodliwych programów atakuje niewielką liczbę banków. Możemy wyróżnić dwa powody, dla których to właśnie te a nie inne banki stanowią popularny cel ataków: po pierwsze, duża liczba klientów, po drugie stosunkowa łatwość uzyskania uwierzytelnienia umożliwiającego dostęp do kont ze względu na słabe zabezpieczenie.

W 2007 roku wzrosła liczba trojanów tworzonych w celu kradzieży wszystkich danych wprowadzanych do formularzy internetowych. Trojany te atakują najpopularniejsze przeglądarki internetowe, takie jak Internet Explorer, Opera czy Firefox. Naturalnie mogą być wykorzystywane do kradzieży kart kredytowych. Przy pomocy takich szkodników można złamać zabezpieczenia banków - wszystko zależy od stopnia zaawansowania zastosowanych środków bezpieczeństwa. Wiele banków stosujących uwierzytelnienie jednokierunkowe może paść ofiarą stosunkowo prostych ataków.

Unikanie wykrycia

Finansowe szkodliwe programy odzwierciedlają główne trendy dotyczące wektorów infekcji wykorzystywanych przez inne zagrożenia IT - ogromna większość szkodników atakujących banki infekuje maszyny lub systemy podczas surfowania przez użytkownika po stronach internetowych. Chociaż niektóre z takich programów nadal przedostają się na maszyny za pośrednictwem poczty elektronicznej, istnieją wyraźne powody, dla których osoby atakujące instytucje finansowe wolą wykorzystywać do tego celu Internet.

Porady, triki i tutoriale  (Windows XP, Vista, MS Office,) - czytaj na komputer.wieszjak.pl

Po pierwsze, szkodliwe programy dostarczane za pośrednictwem poczty elektronicznej bardziej przyciągają uwagę producentów rozwiązań antywirusowych oraz instytucji finansowych, nie wspominając już o mediach i użytkownikach końcowych. Ukradkowość jest kluczowym czynnikiem decydującym o powodzeniu ataków na instytucje finansowe, dlatego atak typu drive-by download (atak mający miejsce podczas przeglądania stron WWW) przeprowadzony przy użyciu exploitów jest bez wątpienia atrakcyjną metodą. Jeśli użytkownik nie zauważy niczego podejrzanego, będzie korzystał ze swojego komputera tak jak zwykle - w tym przypadku, nadal będzie wprowadzał poufne dane, które mogą zostać skradzione i wykorzystane przez cyberprzestępców.

Drugim czynnikiem - istotnym jeśli chodzi o uniknięcie szybkiego wykrycia przez rozwiązanie antywirusowe - jest to, że szkodliwe programy infekujące systemy za pośrednictwem sieci są umieszczane na serwerze sieciowym. To oznacza, że cyberprzestępcy wykorzystujący te programy w celu przeprowadzania ataków mogą bardzo łatwo modyfikować szkodliwe pliki przy użyciu zautomatyzowanych narzędzi - metoda ta znana jest jako polimorfizm po stronie serwera. W przeciwieństwie do typowego polimorfizmu (gdy algorytm wykorzystywany do modyfikowania kodu jest zawarty w kodzie szkodliwego programu), mechanizm wykorzystywany do modyfikowania szkodliwego oprogramowania nie może być analizowany przez ekspertów z branży antywirusowej, ponieważ znajduje się on na serwerze.

Można naturalnie stworzyć procedury wykrywania generycznego dla programów wykorzystujących polimorfizm po stronie serwera, wymaga to jednak czasu.
Ponadto, niektóre z bardziej zaawansowanych trojanów downloaderów wykorzystywanych do dostarczania finansowego szkodliwego oprogramowania na komputery ulega samozniszczeniu, po tym jak uda im się lub nie pobrać finansowe szkodliwe programy. Naturalnie utrudnia to analizę przeprowadzaną przez specjalistów zajmujących się zwalczaniem szkodliwego oprogramowania.

Muły pieniężne

Wzrost liczby finansowych szkodliwych programów spowodowany jest coraz większą kryminalizacją cyberprzestrzeni polegającą na wykorzystywaniu szkodliwych programów do zarabiania pieniędzy. Cyberprzestępcy muszą w jakiś sposób uzyskać dostęp do skradzionych środków. Naturalnie nie mogą przelać skradzionych pieniędzy na własne konta, ponieważ w ten sposób mogliby zostać łatwo zidentyfikowani i znacznie zwiększyliby ryzyko aresztowania.
W odpowiedzi na wzrost liczby ataków banki zainwestowały więcej czasu, wysiłku i pieniędzy w rozwój mechanizmów wykrywania oszustw i nielegalnej aktywności.

Jednym z zabezpieczeń jest "ogłaszanie alarmu", gdy do podejrzanego regionu na świecie zostanie przelana duża ilość pieniędzy.
W celu obejścia tego zabezpieczenia cyberprzestępcy zaczęli wykorzystywać "muły pieniężne". Muły często werbuje się za pośrednictwem pozornie legalnych ofert pracy - na przykład, cyberprzestępcy mogą ogłosić nabór na "menedżera finansowego". Jeżeli potencjalny muł przyjmie taką ofertę, otrzyma do podpisu dokumenty, tak aby cała procedura wydawała się zgodna z prawem. Muł udostępnia swoje konto bankowe, pozwalając, aby dokonywano na nie przelewów pieniężnych, a następnie przelewa 85% - 90% otrzymanej kwoty dalej przy pomocy takiej usługi jak MoneyGram lub E-Gold. Usługi te wykorzystywane są ze względu na gwarancję anonimowości, która zmniejsza prawdopodobieństwo schwytania cyberprzestępcy. Kwota, jaka pozostaje po przelaniu, stanowi "prowizję" muła - naturalnie są to pieniądze, które zostały zarobione nielegalnie za pośrednictwem phishingu lub finansowego szkodliwego oprogramowania.

Może wydawać się, że muł pieniężny to łatwy sposób zarobienia pieniędzy, i niektóre muły mogą sądzić, że wykonują legalną pracę. Jednak z punktu widzenia prawa osoby te są narzędziem wykorzystywanym do popełnienia przestępstwa, w przeciwieństwie do osób, które padają ofiarą oszustw phishingowych. Muł ryzykuje to, że zostanie wyśledzony i aresztowany, szczególnie gdy mieszka w tym samym państwie co ofiara.

Wykorzystywanie przez cyberprzestępców mułów pieniężnych ma kilka zalet. Po pierwsze, jeżeli muł znajduje się w tym samym państwie co oszust, istnieje mniejsze prawdopodobieństwo, że automatyczne systemy bankowe oznaczą transakcje jako podejrzane. Po drugie, oszust może wykorzystywać kilka mułów i podzielić kwotę, jaka jest do przelania, np. może rozłożyć przelanie 5 000 dolarów na dziesięć transakcji, zamiast jednorazowo przelać całą kwotę 50 000 dolarów. Obniża to prawdopodobieństwo zablokowania transakcji jako potencjalnie podejrzanej oraz zmniejsza straty w przypadku zablokowania jednej czy dwóch transakcji.
Naturalnie, angażowanie mułów pieniężnych niesie ze sobą pewne ryzyko; cyberprzestępcy muszą mieć pewność, że mogą zaufać wybranemu mułowi. W końcu istnieje niewielka gwarancja - lub nie ma żadnej - że muł po prostu nie zniknie z pieniędzmi, które zostały przelane na jego konto.

Phishing

Omawiając zjawisko phishingu, istotne jest jednoznaczne zdefiniowanie tego terminu. W artykule tym phishing definiujemy jako oszukańcze wiadomości - rzekomo pochodzące od organizacji (finansowej) - wysyłane w celu nakłonienia użytkowników do ujawnienia poufnych informacji. Jest to kwestia socjotechniki i jeśli w całą sprawę zamieszane jest szkodliwe oprogramowanie, atak ten nie może być uważany za phishing.

Niekończący się strumień wiadomości phishingowych oraz narzędzia do tworzenia phishingu wyraźnie pokazują, że phishing wciąż jest bardzo skutecznym sposobem nakłaniania użytkowników do ujawnienia swoich danych uwierzytelniających. Wynika to z kilku powodów. Po pierwsze, edukacja użytkowników nie dała pożądanych rezultatów - niektóre osoby wciąż klikają odsyłacze zawarte w wiadomościach phishingowych. Użytkownicy albo nie są świadomi mechanizmów bezpieczeństwa (takich jak https), nie zwracają na nie należytej uwagi, albo po prostu ignorują ostrzeżenia o nieważnych lub podejrzanych certyfikatach na stronie internetowej. Ponadto chcąc zmaksymalizować swoje zyski, cyberprzestępcy nieustannie wymyślają coraz bardziej wyrafinowane metody socjotechniki, aby oszukać bardziej świadomych zagrożeń użytkowników.

Prowadzisz firmę ? Zajrzyj na e-mojafirma.infor.pl/mala-firma

Drugi problem polega na tym, że zabezpieczenia większości instytucji finansowych można złamać bardzo prostym atakiem (phishingowym). Szybki przegląd zabezpieczeń stosowanych przez wiele banków w Stanach Zjednoczonych, Wielkiej Brytanii i w innych państwach pokazuje, że dostęp do systemów bankowości online uzyskiwany jest przy pomocy prostej statycznej nazwy użytkownika i hasła. Cyberprzestępca musi jedynie zdobyć nazwę użytkownika i hasło, aby wykonać niemal każdą transakcję. Kolejny problem z wykorzystywaniem statycznej nazwy użytkownika i hasła wiąże się z tym, że dane można przechowywać, co oznacza, że nieautoryzowani użytkownicy lub cyberprzestępcy nie muszą przetwarzać danych w czasie rzeczywistym - można to zrobić później.

Banki posiadające lepsze polityki bezpieczeństwa będą stosowały co najmniej jedno dynamiczne hasło: jednorazowe hasło ważne tylko w danej sesji. Taka dynamiczna autoryzacja może być wykorzystywana podczas logowania się użytkownika lub podpisywania transakcji, a najlepiej w obu przypadkach. Podejście to uniemożliwia podpisanie transakcji przy pomocy hasła, które straciło ważność. Idealnie byłby, gdyby uniemożliwiało również logowanie.

Aby cyberprzestępca mógł dokonywać transakcji za pośrednictwem phishingu, w przypadku gdy stosowane są hasła dynamiczne, musi przeprowadzić atak typu Man-in-the-Middle. Ten rodzaj ataku zostanie omówiony w dalszej części artykułu. Przeprowadzenie ataku MitM jest o wiele trudniejsze niż stworzenie standardowej strony phishingowej; jednak dzięki zestawom narzędzi MitM przy niewielkim wysiłku cyberprzestępcy mogą przygotować ataki na popularne banki.

Ze względu na rozpowszechnienie phishingu, jest to naturalnie skuteczna metoda ataków. Ataki phishingowe działają na wszystkich popularnych systemach operacyjnych. Jednak z punktu widzenia cyberprzestępców phishing ma jedną wadę: użytkownik może wybrać, czy kliknąć czy nie kliknąć zawarty w wiadomości e-mail odsyłacz, a następnie może zdecydować, czy wprowadzić swoje dane uwierzytelniające.

Możliwość wyboru to nieodłączny element socjotechniki. Podejście techniczne polegające na wykorzystywaniu szkodliwego oprogramowania eliminuje ten element wyboru, co sprawia, że użytkownicy, którzy nie dali się nabrać na oszustwo phishingowe, nadal stanowią realny cel.

Zautomatyzowane ataki

Finansowe szkodliwe programy występują w różnych formach i rozmiarach, a ich celem często są konkretne organizacje. Sposób działania szkodliwych programów zwykle zależy od zabezpieczeń banku. To oznacza, że cyberprzestępcy nie muszą marnować czasu na stworzenie zbyt złożonego szkodliwego oprogramowania. Istnieje kilka metod, przy pomocy których można obejść zabezpieczenia bankowe i przechwycić informacje o użytkowniku.

Jeżeli bank wykorzystuje uwierzytelnienie jednokierunkowe ze statyczną nazwą użytkownika i hasłem, wystarczy tylko przechwycić uderzenia klawiszy. Jednak niektóre banki stworzyły dynamiczne klawiatury i aby wprowadzić hasło użytkownik musi kliknąć "losowo wybraną" sekwencję. Autorzy szkodliwego oprogramowania obchodzą tego typu zabezpieczenia przy pomocy dwóch różnych metod - tworzą zrzuty ekranu w momencie odwiedzania przez użytkownika określonej strony lub gromadzą informacje wysłane na stronę, przechwytując formularz. W obu przypadkach skradzione dane są przetwarzane później.

Uzyskiwanie dostępu do kont komplikuje nieco wykorzystywanie numerów TAN (Transaction Authorisation Numbers) w celu podpisywania transakcji. TAN może pochodzić z fizycznej listy wydawanej posiadaczowi konta (na przykład, w postaci karty-zdrapki) przez instytucję finansową albo może być wysyłany SMS-em. W obu przypadkach, cyberprzestępca nie ma dostępu do numeru TAN. W większości przypadków, wykorzystywane przez cyberprzestępców szkodliwe oprogramowanie przechwytuje informacje wprowadzane przez użytkownika w sposób podobny do opisanego wyżej.

Gdy użytkownik wprowadzi TAN, szkodliwe oprogramowanie przechwyci te dane i wyświetli fałszywy komunikat o błędzie lub wyśle na stronę finansową nieprawidłowy TAN. W rezultacie, użytkownik może wprowadzić inny TAN. Czasami do przeprowadzenia transakcji mogą być wymagane dwa TAN-y - zależy to od organizacji i zaimplementowanych przez nią systemów bezpieczeństwa. Jeśli do dokonania transakcji wymagany jest tylko jeden TAN, opisany wyżej atak mógłby pozwolić cyberprzestępcy na dokonanie dwóch transakcji.

Powodzenie takiego ataku jest w dużym stopniu uzależnione od implementacji systemu TAN. Niektóre systemy nie posiadają daty wygaśnięcia TAN-u; kolejny TAN na liście musi być kolejnym TAN-em, który zostanie użyty. Jeśli kolejny TAN na liście nie zostanie wprowadzony na stronę banku, cyberprzestępca będzie mógł użyć go natychmiast lub zachować do późniejszego wykorzystania. Jednak skradzione TAN-y posiadają krótszy okres życia niż statyczna nazwa użytkownika i hasło ze względu na to, że użytkownik, który stale napotyka na problemy podczas sesji transakcji bankowych online, z pewnością zadzwoni do banku z prośbą o pomoc.

Jeżeli TAN-y są wysyłane do posiadacza konta za pośrednictwem SMS-a, dla każdej unikatowej transakcji może być wydany unikatowy TAN przy użyciu metody podobnej do uwierzytelnienia dwukierunkowego. Od tego momentu cyberprzestępcy muszą rozpocząć przetwarzanie danych w czasie rzeczywistym za pomocą ataku Man-in-the-Middle.

Źródło: Kaspersky LAB

Autopromocja

REKLAMA

Źródło: Własne
Wersja do druku
Napisz do nas
Zapisz się na newsletter

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:

REKLAMA

QR Code
Moja firma
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Jak skutecznie odpocząć na urlopie i czego nie robić podczas wolnego?
26 lip 2024

Jak rzeczywiście odpocząć na urlopie? Czy lepiej mieć jeden długi urlop czy kilka krótszych? Jak wrócić do pracy po wolnym? Podpowiada Magdalena Marszałek, psycholożka z Uniwersytetu SWPS w Sopocie.
Piątek, 26 lipca: zaczynają się Igrzyska Olimpijskie, święto sportowców, kibiców i… skutecznych marek
26 lip 2024

Wydarzenia sportowe takie jak rozpoczynające się w piątek Igrzyska Olimpijskie w Paryżu to gwarancja pozytywnych emocji zarówno dla sportowców jak i kibiców. Jak można to obserwować od dawna, imprezy sportowe zazwyczaj łączą różnego typu odbiorców czy grupy społeczne. 
Due diligence to ważne narzędzie do kompleksowej oceny kondycji firmy
25 lip 2024

Due diligence ma na celu zebranie wszechstronnych informacji niezbędnych do precyzyjnej wyceny wartości przedsiębiorstwa. Ma to znaczenie m.in. przy kalkulacji ceny zakupu czy ustalaniu warunków umowy sprzedaży. Prawidłowo przeprowadzony proces due diligence pozwala zidentyfikować ryzyka, zagrożenia oraz szanse danego przedsięwzięcia.
Klient sprawdza opinie w internecie, ale sam ich nie wystawia. Jak to zmienić?
25 lip 2024

Klienci niechętnie wystawiają pozytywne opinie w internecie, a jeśli już to robią ograniczają się do "wszystko ok, polecam". Tak wynika z najnowszych badań Trustmate. Problemem są także fałszywe opinie, np. wystawiane przez konkurencję. Jak zbierać więcej autentycznych i wiarygodnych opinii oraz zachęcać kupujących do wystawiania rozbudowanych recenzji? 

REKLAMA

Będą wyższe podatki w 2025 roku, nie będzie podwyższenia kwoty wolnej w PIT ani obniżenia składki zdrowotnej
25 lip 2024

Przedsiębiorcy nie mają złudzeń. Trzech na czterech jest przekonanych, że w 2025 roku nie tylko nie dojdzie do obniżenia podatków, ale wręcz zostaną one podniesione. To samo dotyczy oczekiwanej obniżki składki zdrowotnej. Skończy się na planach, a w praktyce pozostaną dotychczasowe rozwiązania.
Niewykorzystany potencjał. Czas na przywództwo kobiet?
24 lip 2024

Moment, gdy przywódcą wolnego świata może się okazać kobieta to najlepszy czas na dyskusję o kobiecym leadershipie. O tym jak kobiety mogą zajść wyżej i dalej oraz które nawyki stoją im na przeszkodzie opowiada Sally Helgesen, autorka „Nie podcinaj sobie skrzydeł” i pierwszej publikacji z zakresu kobiecego przywództwa „The female advantage”.
Influencer marketing - prawne aspekty współpracy z influencerami
24 lip 2024

Influencer marketing a prawne aspekty współpracy z influencerami. Jak influencer wpływa na wizerunek marki? Dlaczego tak ważne są prawidłowe klauzule kontraktowe, np. klauzula zobowiązująca o dbanie o wizerunek marki? Jakie są kluczowe elementy umowy z influencerem?
Jednoosobowe firmy coraz szybciej się zadłużają
24 lip 2024

Z raportu Krajowego Rejestru Długów wynika, że mikroprzedsiębiorstwa mają coraz większe długi. W ciągu 2 lat zadłużenie jednoosobowych działalności gospodarczych wzrosło z 4,7 mld zł do 5,06 mld zł. W jakich sektorach jest najtrudniej?

REKLAMA

Sprzedaż mieszkań wykorzystywanych w działalności gospodarczej - kiedy nie zapłacimy podatku?
23 lip 2024

Wykorzystanie mieszkania w ramach działalności gospodarczej stało się powszechną praktyką wśród przedsiębiorców. Wątpliwości pojawiają się jednak, gdy przychodzi czas na sprzedaż takiej nieruchomości. Czy można uniknąć podatku dochodowego? Skarbówka rozwiewa te wątpliwości w swoich interpretacjach.
PARP: Trwa nabór wniosków o wsparcie na rozszerzenie lub zmianę profilu dotychczasowej działalności
23 lip 2024

Polska Agencja Rozwoju Przedsiębiorczości uruchomiła kolejny nabór wniosków o wsparcie na rozszerzenie lub zmianę profilu dotychczasowej działalności prowadzonej w sektorach takich jak hotelarstwo, gastronomia (HoReCa), turystyka lub kultura. Działanie jest realizowane w ramach programu finansowanego z Krajowego Planu Odbudowy i Zwiększania Odporności (KPO).

REKLAMA